skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA: Crittografia Insufficiente Nella Soluzione Self-service Da Parte Della Polizia

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA: Crittografia insufficiente nella soluzione self-service da parte della polizia

This post is also available in: English Français

L’Agenzia danese per la protezione dei dati critica la polizia nazionale dopo aver esaminato una soluzione self-service per richiedere un permesso per le armi di propria iniziativa, perché la soluzione non supportava un grado sufficiente di crittografia.

In un caso di auto operazione, l’Agenzia danese per la protezione dei dati ha indagato sulla soluzione self-service della polizia per la richiesta di permessi di armi da fuoco.

È stato riscontrato che la soluzione ASP supportava solo TLS versione 1.0. La Polizia Nazionale ha dichiarato che questa versione era la più alta supportata dalla soluzione in questione e che si stava lavorando per sostituirla.

L’Agenzia danese per la protezione dei dati è del parere che i moduli e le soluzioni web per il trattamento dei dati personali pongono esigenze di sicurezza, in particolare che il titolare del trattamento garantisce che i dati personali non vengano a conoscenza di persone non autorizzate. Le informazioni di natura degna di protezione, comprese le informazioni sui numeri di previdenza sociale, devono pertanto essere protette in modo tale che il contenuto non sia accessibile a persone non autorizzate.

Questa operazione può essere eseguita crittografando il livello di trasporto (TLS) nella versione 1.2 o successiva. Inoltre, l’Agenzia danese per la protezione dei dati è del parere che le versioni TLS 1.0 e 1.1 contengano vulnerabilità note che non garantiscono la necessaria riservatezza e integrità delle informazioni scambiate.

La decisione dovrebbe essere vista come un promemoria generale che non costituisce una sicurezza adeguata se le tecnologie utilizzate per garantire la riservatezza e l’integrità (in questo caso TLS) contengono punti deboli noti e dove sono prontamente disponibili standard sicuri. Inoltre, l’Autorità ritiene che il supporto per le versioni obsolete di TLS in questione debba essere disattivato sia nelle soluzioni di posta elettronica che in quelle web.

Decisione

L’Agenzia danese per la protezione dei dati torna sul caso, che l’audit ha avviato di propria iniziativa dopo aver preso atto che accedendo al sito web www.digimeld.politi.dk, dove è possibile applicare su un permesso di armi, viene avvertito che il sito utilizza una crittografia debole e che persone non autorizzate hanno la possibilità di accedere alle informazioni inserite. In relazione all’applicazione, è necessario ad es. inserire il suo numero di previdenza sociale.

Con lettera del 4 novembre 2020, l’Agenzia danese per la protezione dei dati ha richiesto un parere alla polizia nazionale, dopodiché la polizia nazionale ha rilasciato una dichiarazione il 26 novembre 2020.

Decisione

Dopo un esame del caso, l’Agenzia danese per la protezione dei dati trova motivi per criticare il fatto che il trattamento dei dati personali da parte della polizia nazionale non sia avvenuto in conformità con le norme di cui all’articolo 32, paragrafo del regolamento sulla protezione dei dati.

Di seguito è riportato un riesame più dettagliato del caso e una giustificazione per la decisione dell’agenzia danese per la protezione dei dati.

2. Il parere della Polizia Nazionale

La polizia nazionale ha dichiarato che il sistema di richiesta di armi sul sito web della polizia è costituito rispettivamente da un modulo di richiesta web e da una funzione di invio di e-mail. In connessione con l’inserimento di informazioni personali nel modulo di domanda, la connessione tra il server della polizia e il browser del richiedente è protetta con crittografia TLS 1.0 fino al completamento dell’inserimento.

Una volta completato l’inserimento delle informazioni nel modulo di domanda, le informazioni vengono inviate tramite la funzione di invio di posta elettronica a un indirizzo di posta elettronica del Centro amministrativo di polizia (PAC), che elabora l’effettiva domanda di permesso per armi da fuoco.

Quando l’invio è completato, il modulo verrà chiuso, dopodiché tutte le informazioni inserite e gli eventuali allegati verranno eliminati dal server della polizia e dal sistema di applicazione delle armi. Le e-mail dalla soluzione self-service vengono inviate tramite una soluzione VPN,

La polizia nazionale danese ha inoltre affermato che la crittografia TLS versione 1.0 viene utilizzata nel modulo di domanda Web sul sito Web per richiedere un permesso per le armi da fuoco, mentre la crittografia end-to-end viene utilizzata nella funzione di invio della posta. Il motivo per cui la crittografia TLS 1.0 viene utilizzata nel modulo dell’applicazione Web è che TLS 1.0 è il livello di crittografia più elevato che può essere eseguito sulla soluzione esistente.

Tuttavia, la polizia nazionale è a conoscenza della raccomandazione dell’Agenzia danese per la protezione dei dati sull’uso di TLS 1.2 o più recente per la crittografia sul livello di transpost. La Polizia Nazionale è tra l’altro. pertanto nel processo di implementazione di una nuova soluzione applicativa per licenze di armi da fuoco, in cui viene utilizzata una crittografia più forte, in modo che il sistema di applicazione delle armi da fuoco diventi ancora più sicuro.

La Polizia Nazionale ha infine dichiarato che la Polizia Nazionale ha avviato lo sviluppo di un nuovo sistema di applicazione di armi basato sul form engine della Danish Business Authority, che utilizza l’attuale versione TLS al momento dell’implementazione, che dovrebbe essere TLS 1.3. La Polizia Nazionale prevede che la nuova soluzione applicativa sarà commissionata nel primo trimestre del 2021.

Giustificazione della decisione dell’agenzia danese per la protezione dei dati

Risulta chiaro dall’articolo 32, paragrafo 1, del regolamento sulla protezione dei dati 1, che il titolare del trattamento deve attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà delle persone fisiche.

L’Ispettorato dei dati ritiene che il trattamento dei dati personali meritevoli di protezione imponga maggiori esigenze di sicurezza, incluso il fatto che il responsabile del trattamento garantisce che i dati personali non vengano a conoscenza di persone non autorizzate. Le informazioni di natura degna di protezione, comprese le informazioni sui numeri di previdenza sociale, devono pertanto essere protette in modo tale che il contenuto non sia accessibile a persone non autorizzate. Ciò può essere garantito dalla crittografia sul livello di trasporto (TLS) nella versione 1.2 o successiva. Inoltre, l’Agenzia danese per la protezione dei dati è del parere che la versione 1.0 di TLS contenga vulnerabilità note che non garantiscono la necessaria riservatezza e integrità delle informazioni scambiate.

Sulla base di ciò, l’Agenzia danese per la protezione dei dati ritiene che la polizia nazionale, utilizzando la crittografia TLS versione 1.0 nel modulo di domanda web sul sito web per richiedere un permesso per le armi da fuoco, non abbia adottato misure tecniche adeguate per garantire un livello di sicurezza appropriato, cfr. 1.

Sulla base di ciò, l’Agenzia danese per la protezione dei dati ritiene che vi sia motivo di criticare il fatto che il trattamento dei dati personali da parte della polizia nazionale non sia avvenuto in conformità con le norme di cui all’articolo 32, paragrafo 1, dell’ordinanza sulla protezione dei dati. 1.

L’agenzia danese per la protezione dei dati ha notato che la polizia nazionale ha cambiato la soluzione per richiedere un permesso per le armi da fuoco e che la polizia nazionale sta ora utilizzando un nuovo sistema di autorizzazione per le armi da fuoco basato sul modulo del modulo dell’autorità aziendale danese.

 

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 / CE (Regolamento generale sulla protezione dei dati).

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA DANIMARCA

Back To Top